|
|
Bilan antiviral 2008 : 11 millions de logiciels malveillants
Sophos et BitDefender viennent de publier des rapports sur les menaces virales actuelles, ainsi que leurs prévisions.
Sophos annonce 11 millions de logiciels malveillants dans la nature, dans son rapport de juillet 2008 !
BitDefender dresse lui un bilan statistique des menaces sur le premier semestre 2008 (quelques infos : 80% des logiciels malveillants en circulation sont des chevaux de troie, 1/3 des logiciels malveillants exploitent des vulnérabilités système...)
Le problème qui apparaît alors est le suivant :
- comment assurer la détection de ces 11 millions de codes malveillants ? comment stocker les informations nécessaires aux "définitions virales", sans avoir recours à une BDD Oracle ?
- comment assurer une mise à jour efficace pour contrecarrer le rythme effreiné des diffusions de variantes ?
Certains pensent déjà à migrer vers la détection d'applications "blanches", dites sûres...
Quid des applications internes en Entreprise, jamais diffusées à l'extérieur... ?
Décriée à l'époque, la technologie ViGuard avait peut être été visionnaire par rapport à cette situation : il s'agissait de protéger un poste sans signature antivirale.
Pourquoi ? parce que la taille des bases de définitions virales ne fait que croître, et avec elle l'impact de nombreux antivirus sur les performances des systèmes d'exploitation qu'ils protègent. Et parce la course entre la découverte d'un échantillon viral inconnu, la publication de sa signature, et la diffusion de cette dernière sur les PC dans le monde, est une course sans fin contre des milieux malveillants de plus en plus professionnels.
Rappel : principe de ViGuard (résumé) : détection comportementale des applications, détections des modifications système, et détection de quelques instructions virales.
Seul problème (et de taille) : l'utilisateur était régulièrement sollicité pour prise de décision, suite à une alerte. Et malheureusement, l'utilisateur lambda ne disposait souvent pas de la culture technique lui permettant de comprendre les messages de ViGuard...
Forcément, sur un antivirus "standard", c'est le moteur qui prend la décision, tout seul...
Pourtant, tout n'est pas fini (ViGuard n'est plus maintenu aujourd'hui)...
D'autres technologies voisines des concepts de ViGuard, ont fait leur apparition chez les ténors du marché antiviral... On peut citer :
- TruPrevent, chez Panda (détection comportementale avancée, à l'exécution)
- ThreatSense de ESET NOD32 (détection visiblement efficace des "packers" de code, par émulation de code et utilisation de signatures génériques)
- Behavioral GenoType, chez Sophos (HIPS, détection par signatures génériques et analyse comportementale du code en préventif, avant exécution par le système hôte) - > ViGuard FileWall ?
- Kaspersky et ses prélèvement de portions de code pour comparaison avec scénarii "viraux" (expliqué par M. Blanchard en personne !) - > FileWall ?
- HIPS chez McAfee : combinaison du Viguard FileWall, ViStartup... et du mode d'apprentissage comportemental de Viguard 11 !
- UAC de Vista ! hé oui, même en étant administrateur, ViGuard posait le même type de question à l'utilisateur que les validations UAC pour la plupart des installations d'applications ou de modifications système... Simplement, Vista ne détaille pas quelle modification a (ou aura) lieu.
D'autre part le monde du "libre" n'est pas à oublier, avec le TeaTimer de SpyBot S&D : affichage et détection des modifications du démarrage système à la ViGuard ViStartup, détection processus "dangereux" qui peut aussi s'apparenter à FileWall ...
Il semble donc que les idées convergent... vers des compléments au moteur antiviral pur, qui sont de plus en plus présents.
Le schéma qui tend alors à devenir la norme en terme antiviral est donc :
- détection par signatures (procédé historique)
- mise à jour horaire (ou presque) : la cadence a sérieusement augmenté ! Sophos propose des MàJ en standard toutes les 2h !
- détection par modules complémentaires (et/ou protection directe du système) : heuristique et/ou HIPS !
Ce qui peut supposer que l'utilisateur soit à nouveau sollicité à terme, quand les moteurs "automatiques" n'auront pu de donner de réponse en autonome...
Dans un tel contexte, plus que jamais, la sécurité informatique doit et devra passer par la prévention, la formation, la sensibilisation, afin d'améliorer la compréhension de l'outil informatique et de ses dangers !
Posté le 20 aout 2008 par Philippe VIALLE
- source Veille virale
Vous pouvez commenter cette nouvelle
en posant vos avis, questions et remarques
sur le forum actualité
|
|
